[發明專利]一種計算機用戶行為異常檢測方法有效
| 申請號: | 201710376279.7 | 申請日: | 2017-05-25 |
| 公開(公告)號: | CN106998334B | 公開(公告)日: | 2021-04-06 |
| 發明(設計)人: | 石波;吳朝雄;沈德峰;胡佳;謝小明;沈艷林;郭江;孫琦 | 申請(專利權)人: | 北京計算機技術及應用研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 中國兵器工業集團公司專利中心 11011 | 代理人: | 張然 |
| 地址: | 100854*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 計算機 用戶 行為 異常 檢測 方法 | ||
1.一種計算機用戶行為異常檢測方法,其特征在于,包括:
步驟1:對原始數據進行預處理,消除重復信息和錯誤信息,生成格式化的用戶身份信息、對象信息、時間信息以及行為信息;
步驟2:基于用戶身份信息、對象信息、時間信息、行為信息,進行用戶正常行為建模,建立用戶行為基線;
步驟3:依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常;
步驟4:對于實時產生的正常用戶行為,進一步進行用戶行為基線調整;
步驟2具體包括:
周期T內,在每天的第k個小時內,用戶USER通過n 種方式訪問了m 個對象,訪問行為包括OPT1,OPT2,…,OPTn ,對象包括OBJ1,OBJ2,…,OBJm ,時間信息中k-1≤STARTk;
得出訪問模式矩陣如下:
其中,NUMmn表示用戶通過OPTn 這種方式訪問對象OBJm 的次數;
針對周期T,進行用戶正常行為建模,建立訪問模式矩陣,如下:
其中,NUMmn表示用戶通過OPTn 這種方式訪問對象OBJm 的次數,表示周期T內用戶通過OPTn這種方式訪問對象OBJm的平均次數;
調整用戶行為基線,如下:
其中,周期T內包含t天,用戶通過OPTp這種方式訪問對象OBJq,r次。
2.如權利要求1所述的計算機用戶行為異常檢測方法,其特征在于,用于計算機用戶行為異常檢測的原始數據來源包括身份認證網關、應用系統以及主機監控系統,經過去冗余、消除錯誤信息,再進行格式化,形成用戶身份信息、對象信息、時間信息以及行為信息。
3.如權利要求1所述的計算機用戶行為異常檢測方法,其特征在于,用戶身份信息包括身份認證信息、IP地址信息、MAC地址信息以及角色信息;對象信息包括IP地址信息、對象類型信息以及端口信息;時間信息包括發起訪問時間、持續時間以及終止訪問時間;行為信息包括訪問協議、訪問端口以及操作方式。
4.如權利要求3所述的計算機用戶行為異常檢測方法,其特征在于,步驟3進一步包括:
依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常;
設定用戶行為異常閾值為W,0W≤100%;
在某天的第k個小時內,用戶通過OPTq這種方式訪問對象OBJp r次;
其中,p、q均為不同訪問對應的數值,當0q≤m時,表示這種訪問方式是步驟2中m種訪問方式中的一種;當qm時,表示這種訪問方式不屬于步驟2中m種訪問方式;當0p≤n時,表示這個訪問對象是步驟2中n個訪問對象中的一個;當pn時,表示這個訪問對象不屬于步驟2中n個訪問對象;
若pn,0q≤m,則用戶以前從未以OPTq這種方式訪問過對象OBJp,因此判定為異常行為,觸發用戶行為異常告警;
若0p≤n,qm,則用戶以前以OPTq這種方式從未訪問過對象OBJp,因此判定為異常行為,觸發用戶行為異常告警;
若0p≤n,且0q≤m,但則用戶以OPTq這種訪問方式訪問對象OBJp的頻次超過了正常范圍,觸發用戶行為異常告警;其中,表示周期T內用戶通過OPTq這種方式訪問對象OBJp的平均次數;
其他情況為正常訪問,不觸發用戶行為異常告警。
5.如權利要求4所述的計算機用戶行為異常檢測方法,其特征在于,T至少為3個月。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京計算機技術及應用研究所,未經北京計算機技術及應用研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710376279.7/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種車用電致變色應用系統
- 下一篇:相機模塊
